Premessa

La presente circolare e i relativi allegati definiscono le attività di censimento del patrimonio ICT delle pubbliche amministrazioni e la procedura di qualificazione dei Poli strategici nazionali, così come previsto nel «Piano triennale per l'informatica nella pubblica amministrazione 2017-2019», approvato con decreto del Presidente del Consiglio dei ministri del 31 maggio 2017.

Le previsioni contenute nel Piano triennale, fissando i principi architetturali fondamentali, le regole di usabilità ed interoperabilità, la logica di classificazione delle spese ICT ed il modello per lo sviluppo del digitale, rappresentano il riferimento per lo sviluppo dei sistemi informativi delle pubbliche amministrazioni per il prossimo triennio.

I principali obiettivi del Piano triennale sono:

definire le linee della strategia di sviluppo e realizzazione del sistema informativo della pubblica amministrazione in un quadro organico in base a quanto previsto dagli obiettivi dell'Agenda digitale italiana, dunque del Piano crescita digitale;

razionalizzare, ovvero riqualificare la spesa ICT delle amministrazioni in coerenza con gli obiettivi della legge di stabilità 2016.

Con specifico riferimento a quanto previsto al paragrafo 3.1 del Piano triennale «Data Center e Cloud», tutte le pubbliche amministrazioni che dispongono di infrastrutture fisiche in qualsiasi forma contrattuale dovranno partecipare al censimento effettuato da AgID sulla base del quale saranno individuate le infrastrutture fisiche delle pubbliche amministrazioni candidate a ricoprire il ruolo di Poli strategici nazionali o classificabili nelle seguenti categorie (nella logica di salvaguardia degli investimenti pregressi effettuati dalle amministrazioni):

gruppo A - Data center di qualità non eleggibili a Polo strategico nazionale, oppure con carenze strutturali o organizzative considerate minori.

gruppo B - Data center che non garantiscono requisiti minimi di affidabilità e sicurezza dal punto di vista infrastrutturale e/o organizzativo, o non garantiscono la continuità dei servizi.

Definizioni.

.

Art. 1

Ambito di applicazione

Le amministrazioni tenute all'osservanza della presente circolare sono quelle richiamate dall'art. 2, comma 2 del Codice dell'amministrazione digitale (CAD), che fa riferimento «alle pubbliche amministrazioni di cui all'art. 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all'art. 117 della Costituzione, nonchè le società a controllo pubblico, come definite nel decreto legislativo adottato in attuazione dell'art. 18 delle legge n. 124 del 2015, escluse le società quotate come definite dallo stesso decreto legislativo adottato in attuazione dell'art. 18 delle legge n. 124 del 2015».

Art. 2

Ruolo e competenze dell'Agenzia per l'Italia digitale

Nell'ambito del Piano triennale, è affidato all'Agenzia per l'Italia digitale il compito di definire il Piano di razionalizzazione delle risorse ICT della PA (1) . A tal fine è previsto che AgID individui, attraverso apposita procedura, un insieme di infrastrutture fisiche di proprietà pubblica che verranno elette a Poli strategici nazionali.

In particolare, per quanto concerne la presente circolare, all'Agenzia spetta il compito di:

effettuare il censimento del patrimonio ICT della PA e, in particolare, la ricognizione dello stato dei CED come stabilito dalla legge 17 dicembre 2012, n. 221;

individuare i Poli strategici nazionali, secondo apposita procedura di cui alla presente circolare;

sottoporre all'approvazione del Consiglio dei ministri l'Elenco nazionale dei poli strategici;

definire lo specifico Protocollo d'intesa con il Polo strategico nazionale per la messa a disposizione di risorse ICT a favore delle altre PA;

verificare il mantenimento della qualificazione dei poli inseriti nell'Elenco nazionale;

pianificare le macro-attività a carico dei Poli strategici nazionali ed eseguire il monitoraggio delle iniziative stabilite;

facilitare il percorso delle PA verso il modello Cloud della PA, attraverso anche la stipula della Convenzione fra AgID e i PSN.

(1) Legge 17 dicembre 2012, n. 221, conversione, con modificazioni, del decreto-legge 18 ottobre 2012, n. 179, recante ulteriori misure urgenti per la crescita del Paese (Gazzetta Ufficiale n. 294 del 18 dicembre 2012, supplemento ordinario n. 208).

Art. 3

Censimento del patrimonio ICT della PA

Dalle attività di ricognizione e censimento dell'intero patrimonio ICT in esercizio presso la PA, AgID individuerà i soggetti che potranno candidarsi a ricoprire il ruolo di Polo strategico nazionale.

In particolare, il censimento si propone di:

produrre un quadro informativo/statistico sulle principali installazioni informatiche a livello nazionale, regionale e locale;

individuare per ogni amministrazione l'insieme dei principali componenti hardware e software;

fornire dati e informazioni utili alla razionalizzazione delle infrastrutture digitali dell'amministrazione, ai sensi del decreto-legge 18 ottobre 2012, n. 179 convertito nella legge n. 221/2012.

La partecipazione al censimento consente alla singola amministrazione di valorizzare il proprio patrimonio informativo e conoscere il raggruppamento di appartenenza del Data center in uso rispetto alla classificazione di cui in premessa, al fine di poter realizzare correttamente le azioni richieste dal Piano triennale.

Art. 4

La Procedura di censimento del patrimonio ICT della PA

Attraverso una procedura informatica assistita, pubblicata sul sito istituzionale dell'Agenzia all'indirizzo: https://www.censimentoict.italia.it, viene sottoposto alle amministrazioni il «Questionario di rilevazione del Patrimonio ICT della PA» (di seguito semplicemente «Questionario»).

AgID, in seguito alla pubblicazione della presente circolare, comunica sul proprio sito istituzionale i termini per l'avvio e la chiusura del censimento e le modalità operative per la compilazione.

Per l'espletamento delle attività di censimento, AgID procederà in accordo con i soggetti che manifestano la volontà di operare come coordinatori territoriali rispetto:

1) all'azione di censimento del patrimonio ICT della PA;

2) all'azione di trasformazione dei Data center delle PA/enti presenti sul territorio, in relazione al censimento e alla chiusura dei data center del «gruppo B».

La compilazione del «questionario» sarà effettuata dal responsabile del censimento.

Al termine del censimento e sulla base dei dati forniti, l'amministrazione sarà classificata in una delle seguenti categorie:

«Polo strategico nazionale»;

«gruppo A»;

«gruppo B», e il sistema rilascerà apposita ricevuta con valore di conclusione del procedimento.

La classificazione delle amministrazioni sarà pubblicata sul sito internet dell'Agenzia.

Qualora l'amministrazione dovesse ritenere non appropriata la classificazione ottenuta, potrà richiedere l'aggiornamento dei propri dati, entro dieci giorni solari dalla ricevuta di conclusione del procedimento.

La mancata o parziale compilazione del «questionario» entro i termini stabiliti, qualora non motivata, determina la classificazione d'ufficio dell'amministrazione nel «gruppo B».

Una raccolta dati potrà essere richiesta annualmente al fine di rilevare gli aggiornamenti delle informazioni comunicate precedentemente e monitorare lo stato di avanzamento dei lavori delle amministrazioni.

Art. 5

Polo strategico nazionale (PSN)

Per PSN si intende il soggetto titolare dell'insieme di infrastrutture IT (centralizzate o distribuite), ad alta disponibilità, di proprietà pubblica, eletto a Polo strategico nazionale dalla Presidenza del Consiglio dei ministri e qualificato da AgID ad erogare, in maniera continuativa e sistematica, ad altre amministrazioni:

servizi infrastrutturali on-demand (es. housing, hosting, IaaS, PaaS, SaaS, ecc.);

servizi di disaster recovery e business continuity;

servizi di gestione della sicurezza IT;

servizi di assistenza ai fruitori dei servizi erogati.

Presso i PSN dovranno essere presenti e gestite le principali infrastrutture ICT (hardware, software, connettività) messe a disposizione delle altre amministrazioni, senza vincoli rispetto alla localizzazione sul territorio nazionale.

Art. 6

Procedura di qualificazione dei Poli strategici nazionali (PSN)

La procedura di qualificazione dei Poli strategici nazionali è articolata in cinque fasi:

A) identificazione dei soggetti candidabili e presentazione della domanda di qualificazione;

B) attività istruttoria;

C) approvazione dei PSN da parte della Presidenza del Consiglio dei ministri e iscrizione nell'Elenco nazionale dei PSN;

D) sottoscrizione del Protocollo d'intesa con AgID;

E) monitoraggio dell'Elenco nazionale dei PSN.

A. Identificazione dei soggetti candidabili e presentazione della domanda di qualificazione.

L'identificazione dei soggetti candidabili a PSN avviene nei casi in cui le risultanze del Censimento del patrimonio ICT della PA evidenzino la sussistenza dei requisiti specificati nel dettaglio all'allegato B - Requisiti preliminari per l'identificazione dei soggetti candidati a PSN della presente circolare. Nei casi di effettiva candidabilità, AgID comunicherà formalmente alla PA che è stata identificata quale soggetto candidabile a PSN. Solo ed esclusivamente i soggetti identificati quali candidabili a PSN, se interessati, possono presentare formale istanza all'Agenzia per il conseguimento dell'idoneità a Polo strategico nazionale.

L'istanza dovrà essere redatta in lingua italiana e, ai sensi degli articoli 21-22 del CAD, predisposta in formato elettronico o fornita in copia e sottoscritta, con firma digitale o firma elettronica qualificata, dal responsabile del censimento, secondo lo schema pubblicato sul sito dell'Agenzia, e dovrà essere inviata alla casella di posta elettronica certificata di AgID, al seguente indirizzo: protocollo@pec.agid.gov.it.

Con le medesime modalità dovrà essere altresì predisposta la documentazione atta a dimostrare il possesso dei requisiti dichiarati nel questionario.

I candidati, inoltre, dovranno dimostrare l'affidabilità organizzativa, tecnica e finanziaria necessaria per erogare i servizi sopra qualificati e l'utilizzo di personale dotato di conoscenze specifiche e competenze necessarie per i servizi che si candidano ad erogare, nonchè comprovare l'applicazione di procedure e metodologie conformi a tecniche consolidate.

B. Attività istruttoria.

L'istruttoria relativa alle candidature e la valutazione della documentazione prodotta a corredo sono effettuate dall'Agenzia in via preliminare sulla base delle risultanze del questionario nell'ambito del censimento del patrimonio ICT della PA.

AgID si riserva di verificare la veridicità delle informazioni rese nel questionario anche attraverso l'incrocio delle informazioni presenti in altre banche dati (a titolo esemplificativo: banca dati della Ragioneria dello Stato e dell'Istituto nazionale di statistica).

L'Agenzia controlla la sussistenza dei requisiti previsti e la veridicità di quanto dichiarato nei documenti depositati a corredo dell'istanza.

La valutazione dei requisiti è effettuata da AgID tramite proprio personale e/o soggetti terzi specificamente incaricati dall'Agenzia stessa, secondo quanto indicato nell'allegato A - Processo di valutazione dell'idoneità dei soggetti candidati a PSN della presente circolare.

Terminata la verifica, l'Agenzia potrà dichiarare l'idoneità dell'amministrazione oppure potrà respingerla, qualora l'attività istruttoria abbia dato esito negativo.

Se l'attività istruttoria evidenzia difformità colmabili entro tempi ragionevoli rispetto alle strategie nazionali e con investimenti opportunamente identificati e quantificati, l'Agenzia emanerà un provvedimento motivato di preavviso di rigetto, ai sensi dell'art. 10-bis della legge n. 241/1990. In tal caso l'amministrazione candidata dovrà elaborare uno specifico Piano di adeguamento alle prescrizioni comunicate da AgID, che ne verifica la fattibilità tecnica ed economica ed effettua nuova istruttoria, al termine della quale potrà definitivamente accogliere la richiesta di candidatura o respingerla con provvedimento di diniego. In questo caso, il soggetto non potrà presentare una nuova richiesta finchè permangano le cause che hanno determinato il mancato accoglimento della precedente.

C. Elezione dei soggetti a PSN e iscrizione nell'Elenco nazionale dei PSN.

A seguito dell'accoglimento della candidatura, AgID inserisce la PA candidata nell'elenco dei soggetti dichiarati idonei ad essere eletti a PSN e trasmette tale elenco alla Presidenza del Consiglio dei ministri che, sulla base di valutazioni d'interesse nazionale, procede all'emissione del decreto d'approvazione.

L'iscrizione del soggetto nell'Elenco dei PSN diviene efficace a decorrere dalla pubblicazione in Gazzetta Ufficiale del relativo decreto d'approvazione.

Tutti i Data center qualificati da AgID che afferiscono ai PSN inseriti nell'Elenco nazionale sono considerati tra le «infrastrutture critiche» rilevanti per la sicurezza nazionale.

D. Sottoscrizione del Protocollo d'intesa con AgID.

Dopo la pubblicazione in Gazzetta Ufficiale dell'Elenco nazionale dei PSN, AgID stipula con le amministrazioni ivi inserite specifici protocolli di intesa, contenenti, a titolo esemplificativo e non esaustivo, i seguenti elementi:

oggetto/finalità del protocollo (es: servizi da erogare alle amministrazioni aderenti);

obblighi del Polo strategico nazionale;

condizioni economiche e modalità di fatturazione dei servizi erogati;

livelli minimi di servizio garantiti;

aderenza ai requisiti tecnico-organizzativi del modello strategico del Cloud della PA;

durata dell'accordo;

compiti, ruoli e responsabilità (di AgID, del PSN e delle amministrazioni clienti);

clausole di risoluzione.

Il Protocollo d'intesa contiene inoltre l'eventuale percorso di adeguamento normativo, tecnico ed organizzativo a cui le PA dovranno aderire per regolare la loro qualificazione e mettere a disposizione delle altre PA le risorse ICT e gli spazi di cui sono proprietarie.

A seguito della sottoscrizione del Protocollo di intesa i PSN potranno stipulare, sulla base di quando indicato nella Convenzione, specifici contratti di servizio con le altre amministrazioni.

E. Monitoraggio dei PSN.

I PSN sono sottoposti a verifica periodica da parte di AgID, che redigerà un rapporto sulle risultanze dell'attività di monitoraggio con due possibili esiti:

positivo: mantenimento dei requisiti d'idoneità e permanenza nell'Elenco nazionale dei PSN;

negativo: perdita dei requisiti d'idoneità, relativa comunicazione al soggetto interessato della riclassificazione del proprio Data center nel gruppo A o B e conseguente eliminazione dall'Elenco nazionale dei PSN.

La Presidenza del Consiglio dei ministri, con proprio provvedimento, procederà alla cancellazione del soggetto dall'Elenco nazionale dei PSN. Al fine del mantenimento dell'idoneità, tutti i PSN sono obbligati a comunicare tempestivamente all'Agenzia ogni evento che modifichi i propri requisiti. Disposizioni transitorie e finali.

Una volta completato il Censimento del patrimonio ICT, si procederà alla valutazione delle necessità IT infrastrutturali nell'ambito del Piano triennale e, in funzione del processo di razionalizzazione, verranno proposti i PSN da qualificare. Non è previsto un numero minimo di PSN da eleggere, ovvero, in assenza dei requisiti richiesti, sarà possibile anche non eleggere alcun PSN.

Si specifica altresì che, ai sensi della circolare AgID 24 giugno 2016, n. 2, come richiamata dal Piano triennale (cfr. paragrafo 3.1.3. Linee di azione - azione 1), in materia di spesa le PA non possono effettuare spese o investimenti in materia di Data center, ma - previa approvazione di AgID - possono procedere agli adeguamenti dei propri Data center esclusivamente al fine di:

evitare problemi di interruzione di pubblico servizio (inclusi gli interventi necessari a garantire la sicurezza dei dati e dei sistemi, in applicazione delle regole AgID Basic Security Controls);

anticipare processi di dismissione dei propri Data center per migrare al Cloud della PA;

consolidare i propri servizi sui Data center di altre PA per ottenere economie di spesa.

Attraverso una procedura informatica dedicata, pubblicata sul sito istituzionale dell'Agenzia, sarà possibile sottoporre la richiesta d'approvazione che dovrà essere redatta in lingua italiana e, ai sensi degli articoli 21-22 del CAD, predisposta in formato elettronico, o fornita in copia e sottoscritta con firma digitale, o firma elettronica qualificata, dal responsabile del censimento.

La richiesta dovrà essere corredata da specifica relazione sottoscritta digitalmente dal responsabile del censimento e dovrà contenere:

la descrizione tecnico-economica delle attività che comportano la spesa e/o l'investimento oggetto d'approvazione corredata da un'adeguata motivazione dell'impossibilità di migrare al Cloud della PA.

Sono esclusi dalla richiesta di approvazione gli adeguamenti che prevedono acquisti nei seguenti ambiti:

progetti di ricerca a titolarità di istituzioni universitarie e/o enti di ricerca;

sistemi a supporto della diagnostica clinica.

Nelle more dell'attivazione della piattaforma dedicata alla gestione delle richieste d'approvazione ai sensi del Piano triennale, i soggetti che intendono sottoporre ad approvazione di AgID la spesa e/o gli investimenti per gli adeguamenti dei Data center in uso, possono inviare formale richiesta tramite posta elettronica certificata all'indirizzo protocollo@pec.agid.gov.it indicando nell'oggetto: «richiesta adeguamento data center».

I progetti di regioni o comuni che prevedono adeguamenti dei Data center in uso già valutati da AgID e inseriti nei protocolli di intesa per l'accompagnamento dell'esecuzione del Piano triennale dell'amministrazione, sono da ritenersi approvati e non devono pertanto essere sottoposti all'iter descritto.

La presente circolare entra in vigore alla data di pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Allegati:

allegato A - Processo di valutazione dell'idoneità dei soggetti candidati a PSN;

allegato B - Requisiti preliminari per l'identificazione dei soggetti candidati a PSN.

Roma, 30 novembre 2017

Il direttore generale: SAMARITANI

ALLEGATO A

ALLEGATO B